La biometria su web prende il volo?

Roma - Il riconoscimento dell'utente attraverso l'impiego di parametri biometrici ha l'innegabile vantaggio della semplicità: piuttosto che dover ricordare un numero imprecisato di identificativi di accesso diversi con relativa password, le caratteristiche proprie del nostro corpo, uniche per definizione, divengono il passe- partout per autenticare la nostra identità e poter così superare con successo i meccanismi di sicurezza.

Tra le più proficue applicazioni pratiche della scienza biometrica applicata alla security, c'è sicuramente il riconoscimento basato sulle impronte digitali: la "scienza delle impronte", da oltre 100 anni cardine fondamentale dell'attività forense, è ormai il "focus" di numerose imprese dell'IT.

Ora Pay By Touch, già impegnata in diverse iniziative, ha lanciato un progetto per integrare la facilità dell'autenticazione biometrica con le applicazioni di rete. L'azienda, già responsabile di aver sviluppato sistemi di riconoscimento basati sulle impronte impiegati per far la spesa nei supermercati, lancia infatti TrueMe, con lo scopo dichiarato di relegare al passato la necessità di dover digitare nome utente e password ogni volta che occorra accedere ad un sito protetto. L'idea non è in sé una novità assoluta ma l'interesse dimostrato da grandi imprese europee per Pay By Touch induce a ritenere che le chance di un effettivo "decollo" dei sistemi biometrici applicati al web possa essere dietro l'angolo.
Il sistema funziona così: l'utente si fa scansionare l'impronta dal lettore biometrico certificato collegato al PC e i dati raccolti vengono cifrati e inviati ad un apparato collettore del network TrueMe. Quando un sito o un'applicazione web richiedono l'autenticazione, sarà il server del servizio, una volta riconosciuta l'identità dell'utente, a garantire per questi e ad autenticarlo. Per un ulteriore grado di sicurezza, oltre all'impronta viene registrato l'ID dello scanner utilizzato per il tentativo di autenticazione, rendendo potenzialmente più facile l'eventuale identificazione di utilizzi fraudolenti del sistema.

"Grazie a TrueMe", dichiara Jon Siegal, portavoce di Pay By Touch, "un semplice tocco dell'impronta garantisce ai responsabili la sicurezza che richiedono, dando nel contempo agli utenti la semplicità di utilizzo che desiderano. TrueMe soddisfa entrambe le necessità senza il tedio dei dati di login e password multipli". Le applicazioni sono multiple: e-commerce e transazioni finanziarie sono naturalmente i primi obiettivi, ma la tecnologia ha le potenzialità per essere impiegata anche altrove.

Salesforce.com, compagnia che offre l'accesso ad applicazioni basate sul web attraverso la piattaforma AppExchange online service, ha in programma l'integrazione di TrueMe nei suoi servizi verso l'inizio di novembre. Gli analisti commentano la partnership tra Pay By Touch e Salesforce.com come particolarmente importante nel provare che TrueMe sia un servizio di livello industriale.

Gli scanner biometrici impiegati nell'autenticazione vengono forniti dalla compagnia Upek Inc., che ha stretto una partnership commerciale con Pay By Touch: la Upek produce i dispositivi di riconoscimento integrati nei portatili ThinkPad T60 e X60 della cinese Lenovo (che sono quindi già compatibili con TrueMe), e naturalmente ne commercializza versioni stand alone sotto forma di periferiche compatibili USB.

Con TrueMe, Pay By Touch e Upek lavorano per concretizzare l'obiettivo della fusione delle autenticazioni separate necessarie per accedere al PC, alle applicazioni e al web in un unico processo: una volta che sia stata riconosciuta come legittima l'identità dell'utilizzatore, la sicurezza garantita dall'identificazione biometrica permette all'utente di accedere a tutti i sistemi e ai servizi interessati, senza la necessità di dover rispondere a richieste di ulteriori riconoscimenti.

Alfonso Maruccia
14 Commenti alla Notizia La biometria su web prende il volo?
Ordina
  • E se un bel giorno si trovasse il modo di sniffare l'impronta dal lettore con uno spyware che si insedia nel driver????????

    Riflettete....
    ..........
    ...........
    .............
    .......
    .........

    Una password la possiamo cambiare

    ......
    ........
    ....

    Una carta di credito la possiamo bloccare
    .........
    ........
    .......
    ........
    .........
    .........

    Una chiave privata la possiamo revocare
    ..........
    .........
    .............
    .........
    .............
    ........
    ..........



    MA LE NOSTRE DITA?????
  • Infatti...Deluso
    non+autenticato
  • 1) Chi ci garantisce che dati così sensibili non saranno sotto banco venduti a chissacchì per soldoni pesanti?

    2) Chi ci garantisce che la compagnia è adeguatamente protetta da incursioni?? oggi alcuni craker riescono ad entrare dappertutto.. per dati così importanti ci sarebbe un assalto vero e proprio.

    3) L'accesso si potrà fare solo da una postazione?
    quindi viene meno il vantaggio dell'accesso da dovunque nel web?
    io controllo il mio home banking, la mia posta, i miei documenti da dove voglio.

    Sono molto perplesso.
    non+autenticato
  • Cerco di rispondere alle tue tre perplessità....

    1) In teoria dovrebbe esserci una licenza da accettare per fruire del servizio, e immagino che se l'azienda facesse una cosa del genere sarebbe non dico doveroso, ma giustissimo farla mangiare dagli avvocati.....Uno potrebbe anche pensare ad una sorta di assicurazione dei propri dati biometrici, sai che festa farebbero le compagnie di assicurazione con tutto un nuovo mercato da cui succhiare quattrini....

    2) Nessuno garantisce niente. I dati comunque sono cifrati, anche se non è specificato il tipo di protezione....

    3) L'accesso è indipendente dal cliet. L'autenticazione, come è scritto nel pezzo, è gestita da remoto, sui server di TrueMe, che comunicano l'identità di chi sta tentando di accedere allo store/servizio finanziario/sito porno e ci permettono di passare.....

    Si, in effetti fa molto Johnny Mnemonic.....senza dover aspettare la diffusione del costume di farsi impiantare chippettini sottopelle e/o nel cervello, ci stiamo avvicinando ad un futuro cyberpunk e pieno di incognite a passi molto poco felpati....

  • - Scritto da:
    >
    > 3) L'accesso si potrà fare solo da una postazione?
    > quindi viene meno il vantaggio dell'accesso da
    > dovunque nel
    > web?
    > io controllo il mio home banking, la mia posta, i
    > miei documenti da dove
    > voglio.
    >
    > Sono molto perplesso.

    E se sulla postazione non tua ci fosse l'equivalente di uno skimmer che clona la tua impronta?

    Ma io sono ancora piu' perplesso per un fatto: senza neanche ricorrere alla violenza estrema (asportazione di dita od occhi, tortura), una identificazione vocale si potrebbe ottenere con social engineering (Sneakers, ovvero I Signori della Truffa, gran bel film IMHO... "la mia voce è il mio passaporto"), mentre una da impronta non richiede neanche l'impronta clonata alla Gattaca... basta tramortire il soggetto e mettergli il dito sul lettore...
    Almeno, se la password è solo nella sua testa, (eh no, niente post-it!Sorride ) serve quantomeno il Penthotal...

    Insomma, mi sembra che con questi sistemi calino di parecchio le risorse necessarie ad un potenziale criminale intenzionato ad estorcere l'accesso...

    KaysiX
    non+autenticato

  • > Insomma, mi sembra che con questi sistemi calino
    > di parecchio le risorse necessarie ad un
    > potenziale criminale intenzionato ad estorcere
    > l'accesso...
    >
    > KaysiX


    L'hai detto! Ora chiunque saprà dove andare a trovare le password! La stupidità umana sembra aumentare con la tecnologia
    non+autenticato

  • Beh... se i dati vengono in qualche modo persi è sufficiente revocare le impronte digitali...

    ...con un buon acido.
    non+autenticato

  • - Scritto da:
    >
    > Sono molto perplesso.

    Infatti non mi sembra un granchè. Mi è capitato di vedere una integratzione tramite una soluzione con un prodotto Axionics (axs id card), che mi sembra molto superiore: lo scanner non è USB, per esempio, e lo puoi collegare a prescindere perchè usa come interfaccia il "flickering" dello schermo. Quindi te lo porti in tasca e lo usi, a prescindere dal SO, dai driver, ecc.

    Eccellente, secondo me è la strada da seguire
    non+autenticato
  • E già visto come va a finire.
    Non mi piace per niente l'idea di avere l'autenticazione collegata alle impronte digitali. Ma proprio per niente!
    Clicca per vedere le dimensioni originali
    Molto meglio i post-it appiccicati sul monitor!
    Molto ma mooolto meglio!
    A bocca aperta
    non+autenticato
  • le password si possono cambiare, i dati biometrici no.

    Se uno mi clona i miei dati biometrici, non sarà facile riavere la mia identità integra...
    non+autenticato

  • - Scritto da:
    > le password si possono cambiare, i dati
    > biometrici
    > no.
    >
    > Se uno mi clona i miei dati biometrici, non sarà
    > facile riavere la mia identità
    > integra...


    Stavo aprendo il tuo stesso post, bravo!!
    non+autenticato
  • "ricordare un numero imprecisato di identificativi di accesso diversi con relativa password"

    Usare la biometria significa avere la stessa password per tutto! Alla faccia della sicurezza!! Se ti fregano "il tuo codice" rimani fregato in tutto.
    E visto che dalle impronte digitali (analogiche) l'aggeggio deve per forza convertirle in byte (digitali) è anche possibile salvare le tue impronte(o ogni altra cosa) una volta scannerizzate, copiarli e riutilizzarli!
    Cylon
    non+autenticato
  • Vero. In questo senso, il sistema è teoricamente fallace come ogni tipo di crittografia simmetrica basata su una parola chiave. Solo che quella "parola chiave" è impossibile da individuare con un attacco brute force (essendo un parametro biometrico irripetibile e individuale), e quindi ne occorre una copia esatta per effettuare un'intrusione.

    La gestione centralizzata delle copie digitalizatte delle impronte sui server del network TrueMe è al contempo motivo di garanzia e di preoccupazione: facendo affidamento sulle capacità tecnologiche della compagnia, ci si può augurare che il network sia adeguatamente protetto contro i cracker.

    Per contro, se qualcuno si infiltra nel database, potrebbe essere la fine.....

    Riducendo molto i termini del discorso, eh Sorride
  • > Vero. In questo senso, il sistema è teoricamente
    > fallace come ogni tipo di crittografia simmetrica
    > basata su una parola chiave. Solo che quella
    > "parola chiave" è impossibile da individuare con
    > un attacco brute force (essendo un parametro
    > biometrico irripetibile e individuale), e quindi

    Tutto completamente opinabile.
    dipende come vengono rilevate le impronte e convertite.
    Non credo che la variabilità delle impronte digitali della razza uomo sia così elevata.
    Mica ti fanno una sequenza del DNA.
    non+autenticato